Las 10 principales ideas erróneas en ciberseguridad

ActualidadRansomware

El equipo de Sophos Rapid Response ha compilado una lista de las ideas erróneas de seguridad más comunes que ha encontrado en los últimos 12 meses al neutralizar e investigar ciberataques en una amplia gama de empresas.

A continuación se muestra una lista de las 10 percepciones erróneas principales, junto con un contrapunto de Sophos que disipa cada una de ellas según la experiencia y las observaciones de los expertos en respuestas a incidentes en la primera línea de los ataques.

Idea errónea 1: No somos un objetivo, somos demasiado pequeños y/o no tenemos activos de valor para un atacante

Argumento de Sophos: Muchas víctimas de ciberataques asumen que son demasiado pequeñas, en un sector sin interés o que carecen del tipo de activos lucrativos que atraerían a un ciberdelincuente. La verdad es que no importa: si tienes capacidad de procesamiento y presencia digital, eres un objetivo. A pesar de los titulares de los medios de comunicación, la mayoría de los ataques no son perpetrados por ciberdelincuentes avanzados de un estado-nación, son lanzados por oportunistas que buscan presas fáciles y recompensas fáciles, como organizaciones con brechas de seguridad, errores o configuraciones erróneas que los ciberdelincuentes pueden explotar fácilmente.

Si crees que tu organización no es un objetivo, probablemente no estés buscando activamente actividad sospechosa en tu red, como la presencia de Mimikatz (una aplicación de código abierto que permite a los usuarios ver y guardar las credenciales de autenticación) en tu controlador de dominio y podrías pasar por alto los primeros signos de un ataque.

Idea errónea 2: No necesitamos tecnologías de seguridad avanzadas instaladas en todas partes

Argumento de Sophos: Algunos equipos de TI todavía creen que el software de seguridad de endpoints es suficiente para detener todas las amenazas y/o no necesitan seguridad para sus servidores. Los atacantes aprovechan al máximo tales suposiciones. Cualquier error en la configuración, la actualización o la protección convierte a los servidores en un objetivo principal, no secundario, como podría haber sido el caso en el pasado.

La lista de técnicas de ataque que intentan eludir o deshabilitar el software de endpoint y evitar la detección por parte de los equipos de seguridad de TI crece día a día. Los ejemplos incluyen ataques operados por humanos que explotan la ingeniería social y múltiples puntos de vulnerabilidad para obtener acceso, código malicioso muy empaquetado y confuso inyectado directamente en la memoria, ataques de malware “sin archivos” como la carga reflectante de DLL (biblioteca de vínculos dinámicos) y ataques que utilizan agentes legítimos de acceso remoto como Cobalt Strike junto con herramientas y técnicas de administración de TI cotidianas. Las tecnologías antivirus básicas tendrán dificultades para detectar y bloquear dicha actividad.

Del mismo modo, la suposición de que los endpoints protegidos pueden evitar que los intrusos accedan a servidores desprotegidos es un error. Según los incidentes investigados por Sophos Rapid Response, los servidores son ahora el objetivo número uno de los ataques y los ciberdelincuentes ya que pueden encontrar fácilmente una ruta directa utilizando credenciales de acceso robadas. La mayoría de los atacantes también conocen su camino alrededor de una máquina Linux. De hecho, los ciberdelincuentes a menudo piratean e instalan puertas traseras en máquinas Linux para usarlas como refugios seguros y mantener el acceso a la red de un objetivo.

Si tu organización se basa solo en la seguridad básica, sin herramientas más avanzadas e integradas, como la detección basada en el comportamiento y la inteligencia artificial y un centro de operaciones de seguridad dirigido por humanos las 24 horas del día, los 7 días de la semana, es probable que los intrusos eventualmente encuentren el camino más allá de tus defensas.

Por último, pero no menos importante, siempre vale la pena recordar que, si bien la prevención es ideal, la detección es imprescindible.

Idea errónea 3: Contamos con políticas de seguridad sólidas

Argumento de Sophos: Tener políticas de seguridad para aplicaciones y usuarios es fundamental. Sin embargo, deben revisarse y actualizarse constantemente a medida que se agregan nuevas características y funcionalidades a los dispositivos conectados a la red. Verifica y prueba las políticas, utilizando técnicas como pruebas de penetración, sesiones de control y ejecuciones de prueba de tus planes de recuperación ante desastres.

Idea errónea 4: Los servidores de Protocolo de escritorio remoto (RDP) pueden protegerse de los atacantes cambiando los puertos en los que se encuentran e introduciendo la autenticación multifactor (MFA)

Argumento de Sophos: El puerto estándar utilizado para los servicios RDP es 3389, por lo que la mayoría de los atacantes escanearán este puerto para encontrar servidores de acceso remoto abiertos. Sin embargo, el escaneo identificará cualquier servicio abierto, independientemente del puerto en el que se encuentren, por lo que cambiar de puerto ofrece poca o ninguna protección por sí solo.

Además, aunque es importante introducir la autenticación multifactor, no mejorará la seguridad a menos que la política se aplique a todos los empleados y dispositivos. La actividad de RDP debe tener lugar dentro de los límites de protección de una red privada virtual (VPN), pero incluso eso no puede proteger completamente a una organización si los atacantes ya tienen un punto de apoyo en una red. Idealmente, a menos que su uso sea esencial, la seguridad de TI debería limitar o deshabilitar el uso de RDP interna y externamente.

Idea errónea 5: Bloquear direcciones IP de regiones de alto riesgo como Rusia, China y Corea del Norte nos protege contra ataques desde esos lugares

Argumento de Sophos: Es poco probable que el bloqueo de direcciones IP de regiones específicas cause algún daño, pero podría dar una falsa sensación de seguridad si solo confías en eso para la protección. Los ciberdelincuentes alojan su infraestructura maliciosa en muchos países, con puntos de acceso que incluyen los EEUU, los Países Bajos y el resto de Europa.

Idea errónea 6: Las copias de seguridad brindan inmunidad frente al impacto del ransomware

Argumento de Sophos: Mantener actualizadas las copias de seguridad de los documentos es fundamental para la empresa. Sin embargo, si las copias de seguridad están conectadas a la red, entonces están al alcance de los ciberdelincuentes y son vulnerables a ser cifradas, eliminadas o deshabilitadas en un ataque de ransomware.

Vale la pena señalar que limitar la cantidad de personas con acceso a las copias de seguridad puede no mejorar significativamente la seguridad, ya que los atacantes habrán pasado tiempo en tu red buscando a estas personas y sus credenciales de acceso.

Del mismo modo, el almacenamiento de copias de seguridad en la nube también debe hacerse con cuidado: en un incidente investigado por Sophos Rapid Response, los delincuentes enviaron un correo electrónico al proveedor de servicios en la nube desde una cuenta de administrador de TI comprometida y les pidieron que eliminaran todas las copias de seguridad. El proveedor hizo lo que se le pedía.

La fórmula estándar para copias de seguridad seguras que se pueden usar para restaurar datos y sistemas después de un ataque de ransomware es 3: 2: 1: tres copias de todo, usando dos sistemas diferentes, uno de los cuales está offline.

Una nota final de precaución, tener copias de seguridad sin conexión no protegerá tu información de los ataques de ransomware basados ​​en extorsión, donde los delincuentes roban y amenazan con publicar tus datos en lugar de cifrarlos o además de hacerlo.

Idea errónea 7: Nuestros empleados entienden de seguridad

Argumento de Sophos: De acuerdo con el Estado del ransomware 2021, el 22% de las organizaciones creen que se verán afectadas por el ransomware en los próximos 12 meses porque es difícil evitar que los usuarios finales pongan en peligro la seguridad.

Las tácticas de ingeniería social, como los correos electrónicos de phishing, son cada vez más difíciles de detectar. Los mensajes a menudo son hechos a mano, escritos con precisión, persuasivos y cuidadosamente dirigidos. Tus empleados deben saber cómo detectar mensajes sospechosos y qué hacer cuando los reciben. ¿A quién avisan para que otros empleados puedan estar en alerta?

Idea errónea 8: Los equipos de respuesta a incidentes pueden recuperar mis datos después de un ataque de ransomware

Argumento de Sophos: Esto es muy poco probable. En la actualidad, los atacantes cometen muchos menos errores y el proceso de cifrado ha mejorado, por lo que confiar en los expertos para encontrar una laguna que pueda deshacer el daño es extremadamente raro. Las copias de seguridad automáticas, como las instantáneas de volumen de Windows, también se eliminan con la mayoría de los ransomware modernos y sobrescriben los datos originales almacenados en el disco, lo que hace que la recuperación sea imposible más allá del pago del rescate.

Idea errónea 9: Pagar el rescate recuperará nuestros datos después de un ataque de ransomware

Argumento de Sophos: Según la encuesta el Estado del ransomware 2021, una organización que paga el rescate recupera en promedio alrededor de dos tercios (65%) de sus datos. Un exiguo 8% recuperó todos sus datos y el 29% recuperó menos de la mitad. Por lo tanto, pagar el rescate, incluso cuando parece la opción más fácil y/o está cubierto por su póliza de ciberseguro, no es una solución sencilla para recuperarse.

Además, la restauración de datos es solo una parte del proceso de recuperación. En la mayoría de los casos, el ransomware desactiva por completo los ordenadores, y el software y los sistemas deben reconstruirse desde cero antes de que se puedan restaurar los datos. La encuesta de 2021 encontró que los costes de recuperación son, en promedio, diez veces el tamaño de la demanda de rescate.

Idea errónea 10: La ejecución de ransomware es todo el ataque, si sobrevivimos, estamos bien

Argumento de Sophos: Desafortunadamente, rara vez este es el caso. El ransomware es solo el punto en el que los delincuentes quieren que te des cuenta de que están ahí y de lo que han hecho.

Es probable que los adversarios hayan estado en tu red durante días, si no semanas, antes de lanzar el ransomware, explorar, deshabilitar o eliminar copias de seguridad, encontrar máquinas con información de alto valor o aplicaciones a las que apuntar para el cifrado, eliminar información e instalar cargas útiles adicionales como puertas traseras. Mantener una presencia en las redes de la víctima permite a los atacantes lanzar un segundo ataque si así lo desean.

Recursos adicionales

Leave a Reply

Your email address will not be published.